WinRAR目录穿越漏洞复现及防御指南<\/h1>

漏洞背景<\/h2>

2019年2月20日，安全研究员Nadav Grossman披露了WinRAR中存在19年的逻辑漏洞，可导致代码执行。相关CVE编号包括：<\/p>

CVE-2018-20250<\/li>
CVE-2018-20251<\/li>
CVE-2018-20252<\/li>

CVE-2018-20253<\/li> <\/ul>

漏洞根源在于WinRAR使用的陈旧动态链接库UNACEV2.dll（2006年编译），该库缺乏基础保护机制（如ASLR、DEP等），用于处理ACE格式文件。解压过程中存在目录穿越漏洞，允许攻击者将文件写入系统启动项，实现代码执行。<\/p>

环境准备<\/h2>

下载安装WinACE（默认安装即可）<\/li>

创建测试文件夹和文件：

新建"demo"文件夹<\/li>
创建"test.txt"文件，内容为"hello world"<\/li> <\/ul> <\/li>

使用WinACE创建ACE压缩包：

打开WinACE<\/li>
File → Create<\/li>
下拉框选择"store full path"<\/li>

点击"Add"生成test.ace<\/li> <\/ul> <\/li> <\/ol>

ACE文件格式分析<\/h2>

使用010Editor或WinHex等16进制编辑器打开test.ace文件，关键结构如下：<\/p>

文件头信息<\/strong>：<\/p>

hdr_crc<\/code>：头部CRC校验值，校验失败会中断提取<\/li>
文件名：包含相对路径，提取时会创建路径中所有目录<\/li>
advert<\/code>：未注册版WinACE创建时会自动添加广告字段<\/li>
文件内容： origsize<\/code>：内容大小<\/li> hdr_size<\/code>：头部大小<\/li> <\/ul> <\/li> <\/ul> <\/li> 关键参数示例<\/strong>：<\/p> CRC值：0xc5e9（16进制编辑器显示为e9c5，小端序）<\/li> 文件大小：63（十进制）= 0x3f（16进制，编辑器显示为3f00）<\/li> 文件名长度：0x20（16进制编辑器显示为2000）<\/li> <\/ul> <\/li> <\/ol> 构造恶意ACE文件<\/h2> 修改文件内容<\/strong>：<\/p> 将"hello world"改为"bye world"<\/li> 文件名改为"evil.txt"<\/li> <\/ul> <\/li> 调整相关参数<\/strong>：<\/p> 文件名长度：新长度为0x1b → 修改为1b00<\/li> 文件大小：新大小为0x3a → 修改为3a00<\/li> CRC校验值：需要重新计算<\/li> <\/ul> <\/li> 计算新CRC值<\/strong>：使用acefile.py工具（Python3编写）：<\/p> git clone https:\/\/github.com\/droe\/acefile <\/span><\/span><\/code><\/pre>修改acefile.py代码，在CRC校验处添加打印语句：<\/p> print(hex(ace_crc16(buf))) # 添加在抛出CRC错误前<\/span> <\/span><\/span><\/code><\/pre>运行后会输出新CRC值（如0x8cd2），在文件中需存储为d28c（小端序）<\/p> <\/li> <\/ol> 攻击执行<\/h2> 受害者解压恶意ACE文件时，文件会被解压到攻击者预设的路径（如启动目录），实现持久化攻击。<\/p> 防御措施<\/h2> 升级WinRAR<\/strong>：<\/p> 32位：http:\/\/win-rar.com\/fileadmin\/winrar-versions\/wrar57b1.exe<\/li> 64位：http:\/\/win-rar.com\/fileadmin\/winrar-versions\/winrar-x64-57b1.exe<\/li> <\/ul> <\/li> 删除漏洞组件<\/strong>：<\/p> 右键WinRAR快捷方式 → 打开文件所在位置<\/li> 删除UNACEV2.dll文件<\/li> <\/ul> <\/li> <\/ol> 技术原理深度解析<\/h2> 目录穿越机制<\/strong>：<\/p> ACE格式允许在文件名中包含相对路径（如..\..\startup\evil.exe<\/code>）<\/li> UNACEV2.dll未正确校验路径，允许跳出解压目录<\/li> <\/ul> <\/li> 持久化技术<\/strong>：<\/p> Windows启动目录：C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<\/code><\/li> 系统启动时自动执行该目录下的可执行文件<\/li> <\/ul> <\/li> 漏洞利用链<\/strong>：<\/p> 构造恶意ACE文件 → 诱骗用户解压 → 文件写入启动目录 → 用户重启后执行恶意代码<\/li> <\/ul> <\/li> <\/ol> 参考资源<\/h2> 原始研究报告：https:\/\/research.checkpoint.com\/extracting-code-execution-from-winrar\/<\/li> acefile项目：https:\/\/github.com\/droe\/acefile<\/li> CVE详细信息：https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2018-20250<\/li> <\/ul>